TISAX——可信信息安全評估交換
來源: 發布日期:2019.03.18 點擊量:
為什么選擇TISAX��?
或者更確切地說�����,你為什么在看這篇文章?
為了回答這個問題�,我們從通常來看是關注商業經營���,尤其是信息的保護��。
想象一下你的搭檔���。他有機密信息�。他想和他的供應商——你分享�����。你和你的合作伙伴之間的合作創造了價值�����。合作伙伴與您共享的信息是創造價值的重要組成部分����。因此���,他想適當地保護它����。他想確保你同樣謹慎地處理他的信息。
但他怎么能確定他的信息可以被你妥當的保管呢���?他不能僅僅是“相信”你���。你的搭檔需要看一些證據�。
現在有兩個問題。誰定義了信息“安全”處理的意義�?接下來��,你如何證明這一點?
你的搭檔和你都不是第一次面對這些問題的唯一一人����。幾乎每個人都必須找到答案����,而且大多數答案都有相似之處�。
每次您必須獨立地為一個常見問題創建一個解決方案時,如果有一種標準的方法�,就可以減輕從頭開始創建所有東西的負擔���。雖然定義一個標準是一項巨大的工作����,但它只做了一次�,而且它的追隨者每次都從中受益。
對于保護信息的正確做法�����,肯定有不同的看法��。但是����,由于上述好處����,大多數公司都樂于采用標準�。標準是針對給定挑戰的所有經過驗證和時間測試的最佳實踐的濃縮形式。
在您的案例中,像ISO27001(關于信息管理系統�,isms)這樣的標準和它們的實現方式建立了一種最先進的方法來安全地處理機密信息�����。這樣的標準可以避免你重蹈覆轍。更重要的是,當兩家公司需要交換機密數據時�,標準提供了一個共同的基礎�。
自動方式/汽車之路
從本質上講��,行業獨立的標準設計成一個適合所有解決方案的尺寸�����,而不是為汽車公司的特定需求而定制的。
早在很久以前,汽車行業就已經成立了一些協會��,其目標之一是完善和定義關心他們更具體需求的標準��?��!癡erband Der Automobilindustrie”(VDA����,德國汽車工業協會)就是其中之一����。在處理信息安全的工作組中�����,汽車行業的一些成員得出結論,他們有類似的需求來定制現有的信息安全管理標準���。
他們共同努力的結果是一份調查問卷���,涵蓋了汽車行業廣泛接受的信息安全要求�����。它被稱為“VDA信息安全評估”(VDA ISA)����。
有了VDA ISA�����,我們現在可以回答“誰定義了安全意味著什么����?”通過VDA��,汽車行業自己向其成員提供了這個答案�����。
如何有效地證明安全性
雖然有些公司僅將VDA ISA用于內部目的,而另一些公司則使用它來評估其供應商的信息安全管理的成熟度。在某些情況下�,“自我評估”是建立業務關系的充分基礎�����。然而,在某些情況下,公司對其供應商的信息安全管理(包括現場審計)進行了全面評估����。
隨著人們普遍認識到信息安全管理的必要性���,以及越來越多地采用VDA ISA作為信息安全評估工具,越來越多的供應商面臨著來自不同合作伙伴的類似要求��。
這些合作伙伴仍然采用不同的標準����,并對如何解釋這些標準有不同的意見。但供應商必須證明同樣的事情�,只是通過不同的風格�。
被合作伙伴要求證明其信息安全管理水平的供應商數量越多����,抱怨重復努力的聲音就越大。一個接一個地向審計人員展示相同的信息安全管理措施效率是非常低的���。
我們可以做些什么來提高效率?如果任何審計人員的報告可以被不同的合作伙伴重復利用�,這會有幫助嗎����?
負責維護VDA ISA的VDA工作組中的原始設備制造商和供應商聽取了其供應商的投訴?�,F在�����,他們為他們的供應商以及汽車行業的所有其他公司提供了一個關于“如何證明安全性”的問題的答案。
答案是TISAX����,是“可信信息安全評估交換”的縮寫���。
一�����、TISAX過程概述
TISAX流程(您可能會考慮將TISAX過程作為同行競爭中先發制人的手段。有些公司這樣做是為將來的業務做好充分準備�����。已經接受TISAX評估可能意味著比尚未接受評估的機構投入合作的時間要短得多����,因此可能會使您比尚未接受TISAX評估的競爭對手更具優勢。)通常始于要求您根據“VDA信息安全評估”(VDA ISA)的要求證明定義的信息安全管理級別的合作伙伴之一��。為了滿足這一要求��,您必須完成三步TISAX流程�����。本節概述了需要采取的步驟。
三步TISAX流程包括以下步驟:
圖1:TISAX流程概述
1.注冊
我們收集有關貴公司的信息以及評估中需要包含的內容��。
2.評估
您將通過我們TISAX認可的審計提供商進行的評估���。
3.交換
你和你的搭檔分享你的評估結果�����。
每個步驟由子步驟組成����。這些在下面的三個部分中進行了概述����,并在下面的相應部分中進行了詳細描述。
請注意��!
雖然我們想對于你需要多長時間才能得到你的TISAX評估結果給你一個提示��,但我們懇請你理解,我們是無法得到可靠預測結果的。
TISAX過程的總持續時間取決于太多的因素。公司規模���、評估目標和信息安全管理系統的準備程度的巨大差異使得這成為不可能。
但是,TISAX規定整個TISAX評估過程的最長持續時間為9個月�。
二����、TISAX注冊
你的第一步是TISAX注冊���。
TISAX注冊的主要目的是收集有關貴公司的信息�。我們使用在線注冊流程幫助您向我們提供此信息。
這是所有后續步驟的先決條件�。這是收費的�。
在線注冊過程中:
我們詢問聯系方式和賬單信息���。
你必須接受我們的條款和條件�。
您可以定義信息安全評估的范圍。
三、評估
第二步是進行信息安全評估��。
有四個子步驟:
a)評估準備
你必須準備評估�����,準備到何種程度���,取決于當前信息安全管理系統的成熟度��。但你的準備工作必須以VDA ISA目錄為基礎。
b)審核提供程序選擇
一旦你準備好評估,你就必須選擇我們TISAX認可的審計提供商之一�。
c)信息安全評估
你的審核提供商將會基于匹配你合作伙伴要求的評估范圍來進行評估����。整個評估過程將至少包括初始審計����。
d)評估結果
一旦你的公司通過了評估���,你的審核供應商將提供TISAX官方報告給你。你的評估結果也將收到TISAX標簽3��。
四�、交換
第三步,也是最后一步是去和你的合作伙伴分享你的評估結果����。TISAX報告的內容是由等級結構組成的��。您可以決定您的合作伙伴可以訪問的級別。
你的評估結果具有三年的有效期。
既然你已經對TISAX的過程有了基礎的認識,在接下來的部分中你將會知道如何去完成每一步。
聯系我們
更多關于TISAX的內容或業務需求請持續關注我們��。
詳情請咨詢:
電話:021-62101209-811
郵件:mkt@aryasec.com
相關客戶案例:
